Platform
nodejs
Component
@nyariv/sandboxjs
Opgelost in
0.8.35
0.8.34
CVE-2026-26954 beschrijft een kritieke sandbox escape kwetsbaarheid in de @nyariv/sandboxjs bibliotheek. Deze kwetsbaarheid maakt het mogelijk om de sandbox te omzeilen en code buiten de veilige omgeving uit te voeren. De kwetsbaarheid treedt op door de mogelijkheid om arrays te verkrijgen die Function objecten bevatten, wat vervolgens kan worden misbruikt om de sandbox te verlaten. De kwetsbaarheid beïnvloedt versies van @nyariv/sandboxjs vóór 0.8.34. Een update naar versie 0.8.34 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over het systeem. Een aanvaller kan code injecteren en uitvoeren buiten de sandbox, waardoor gevoelige gegevens kunnen worden gestolen, het systeem kan worden beschadigd of andere schadelijke acties kunnen worden uitgevoerd. De sandbox is bedoeld om code te isoleren en te beschermen tegen ongeautoriseerde toegang; het omzeilen van deze sandbox elimineert die bescherming. Dit is vergelijkbaar met kwetsbaarheden waarbij code-uitvoering buiten een gecontroleerde omgeving mogelijk is, wat de integriteit en vertrouwelijkheid van het systeem in gevaar brengt. De impact is significant omdat de sandbox vaak wordt gebruikt om onbetrouwbare code te draaien, zoals plugins of scripts van derden.
Deze kwetsbaarheid is openbaar bekend gemaakt en er is een proof-of-concept beschikbaar. De KEV score is momenteel niet bekend. Er zijn geen meldingen van actieve campagnes bekend, maar de beschikbaarheid van een POC maakt exploitatie waarschijnlijk. De kwetsbaarheid is gepubliceerd op 2026-03-13.
Applications utilizing @nyariv/sandboxjs to isolate untrusted code or user input are at significant risk. This includes web applications, desktop applications, and any environment where sandboxing is employed to enhance security. Projects relying on older versions of the library, particularly those with limited security monitoring, are especially vulnerable.
• nodejs / sandbox:
npm list @nyariv/sandboxjs• nodejs / sandbox: Check package.json for versions below 0.8.34. • nodejs / sandbox: Review application code for usage of @nyariv/sandboxjs and potential injection points.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de @nyariv/sandboxjs bibliotheek naar versie 0.8.34 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround het beperken van de toegang tot de this context binnen de sandbox zijn. Dit kan worden bereikt door de sandbox te configureren om alleen specifieke eigenschappen en methoden bloot te leggen. Het is belangrijk om te controleren of de sandbox correct is geïmplementeerd en dat er geen onnodige toegangspunten zijn. Er zijn momenteel geen specifieke WAF-regels of Sigma/YARA patronen beschikbaar voor deze specifieke kwetsbaarheid, maar algemene regels voor code-injectie en sandbox escapes kunnen helpen bij detectie. Na de upgrade, verifieer de functionaliteit van de sandbox door te testen met bekende exploit-pogingen.
Werk de SandboxJS bibliotheek bij naar versie 0.8.34 of hoger. Dit zal de sandbox escape kwetsbaarheid oplossen. Voer `npm update sandboxjs` of `yarn upgrade sandboxjs` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-26954 is a critical vulnerability in @nyariv/sandboxjs allowing attackers to bypass sandbox restrictions through Function object manipulation, potentially leading to code execution.
You are affected if you are using @nyariv/sandboxjs versions 0.8.33 or earlier. Upgrade to 0.8.34 to resolve the issue.
Upgrade to @nyariv/sandboxjs version 0.8.34 or later. If immediate upgrade is not possible, implement stricter input validation.
While active exploitation is not confirmed, a public PoC exists, suggesting a potential for exploitation.
Refer to the @nyariv/sandboxjs project's repository and release notes for the official advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.